Politique de divulgation responsable
1. INTRODUCTION
Boralex valorise les retours d’expérience des chercheurs en sécurité et du public pour renforcer nos mesures de sécurité. Si vous avez identifié une vulnérabilité, un problème de confidentialité, des données exposées ou d’autres préoccupations en matière de sécurité dans l’un des actifs de Boralex, nous vous encourageons à nous contacter. Cette Politique fournit un cadre sécurisé pour signaler les failles de sécurité potentielles, assurant une approche standardisée pour améliorer la sécurité des actifs numériques de Boralex tels que les sites web, les réseaux et les services en ligne.
Nous vous incitons à lire attentivement ce document et à respecter ses directives lors de la signalisation de toute vulnérabilité. Bien que nous appréciions les signalements responsables, veuillez noter que Boralex n’offre pas d’incitations financières ou autre pour de telles divulgations.
2. PORTÉE
Cette Politique s’applique à tous les actifs possédés, loué, exploités ou maintenus par Boralex et ses groupes.
3. CANAL OFFICIEL & COMMENT SIGNALER
Si vous pensez avoir découvert une vulnérabilité de sécurité, veuillez nous faire part de vos découvertes via l’email suivant : cyber-disclosure [arobase] boralex [point] com. Dans votre soumission, veuillez inclure :
- Le site web spécifique, l’adresse IP ou la page où la vulnérabilité a été trouvée.
- Une description concise du type de vulnérabilité, telle que “Injection SQL”.
- Les étapes de reproduction qui sont non destructives et servent de preuve de concept, facilitant un triage plus rapide et plus précis.
4. À QUOI S’ATTENDRE
Après réception de votre rapport, l’équipe de cybersécurité de Boralex vise à l’accuser réception et à évaluer sa validité. Nous pouvons vous tenir informé de nos progrès si désirés, selon les circonstances.
La priorité de la remédiation est déterminée en évaluant l’impact de la vulnérabilité, sa gravité et la complexité de l’exploitation. Bien que nous nous efforcions de répondre rapidement aux rapports, le processus peut prendre du temps. Une fois la vulnérabilité que vous avez signalée résolue, nous pouvons vous inviter à vérifier que la solution mise en œuvre est efficace.
Nous encourageons la divulgation publique coordonnée de la vulnérabilité résolue et accueillons votre participation à ce processus.
5. DIRECTIVES
En participant au programme de divulgation de vulnérabilités de Boralex, nous vous demandons de :
- Respecter les règles, y compris suivre cette Politique et tout autre accord pertinent.;
- Signaler toute vulnérabilité que vous avez découverte rapidement ;
- Éviter de violer la vie privée des autres, de perturber nos systèmes, de détruire des données et/ou de nuire à l’expérience utilisateur ;
- Éviter de soumettre des rapports sur des vulnérabilités non exploitables ou qui ne sont pas conformes aux bonnes pratiques, par exemple, signaler des configurations TLS faibles, s’engager dans des attaques d’ingénierie sociale ou de phishing contre le personnel ou l’infrastructure de Boralex;
- Utiliser uniquement les Canaux Officiels pour discuter des informations sur les vulnérabilités avec nous ;
- Nous donner un délai raisonnable (au moins 90 jours à partir du rapport initial) pour résoudre le problème avant de le divulguer publiquement ;
- Effectuer des tests uniquement sur des systèmes dans le champ d’application, et respecter les systèmes et activités qui sont hors de portée ;
- Si une vulnérabilité donne un accès non intentionnel à des données : Limitez la quantité de données auxquelles vous accédez au minimum nécessaire pour démontrer efficacement une Preuve de Concept ; et cessez les tests et soumettez un rapport immédiatement si vous rencontrez des données utilisateur lors des tests, telles que des Informations Personnellement Identifiables (PII), des données de carte de crédit ou des informations propriétaires ;
- Vous ne devez interagir qu’avec des comptes de test que vous possédez ou avec la permission explicite du titulaire du compte ;
- Effacez de manière sécurisée toutes les données obtenues lors de vos recherches, soit lorsque celles-ci ne sont plus nécessaires, soit dans un délai d’un mois après la résolution de la vulnérabilité ; et
- N’engagez pas dans l’extorsion.
6. PROTECTION JURIDIQUE
Lors de la conduite de recherches sur les vulnérabilités, conformément à cette Politique, nous considérons que les recherches menées dans le cadre de cette Politique sont :
- Autorisées en ce qui concerne toutes les lois anti-piratage applicables, et nous n’engagerons pas d’action juridique contre vous pour des violations accidentelles, de bonne foi, de cette Politique ;
- Autorisées en ce qui concerne toutes les lois anti-contournement pertinentes, et nous ne porterons pas plainte contre vous pour contournement des contrôles technologiques ;
- Exemptées des restrictions dans nos Conditions Générales d’Utilisation (CGU) et/ou Politique d’Utilisation Acceptable (PUA) qui interféreraient avec la conduite de recherches en sécurité, et nous levons ces restrictions de manière limitée ; et
- Légales, utiles à la sécurité globale de l’Internet, et menées de bonne foi.
Il est attendu, comme toujours, que vous vous conformiez à toutes les lois applicables. Si une action juridique est engagée par un tiers contre vous et que vous avez respecté cette Politique, nous pourrions prendrons des mesures pour faire savoir que vos actions ont été menées en conformité avec cette Politique.
Si à un moment donné vous avez des préoccupations ou n’êtes pas certain que votre recherche en sécurité soit conforme à cette Politique, veuillez soumettre un rapport via l’un de nos Canaux Officiels avant de poursuivre.